Check Point Harmony Email Securityの研究者による最近の調査で、世界中の企業を標的にした巧妙な新しいフィッシング詐欺が明らかになりました。過去14日間で、サイバー犯罪者がGoogle自身の自動化システムを悪用し、100%公式に見える悪意あるメールを数千通も送信していたことが判明しました。
攻撃の仕組み
Check Pointのレポートによると、この新たに発見されたキャンペーンはGoogle Cloud Application Integrationというツールを使用しています。このサービスは通常、企業が自動アラート送信などのワークフロー自動化を設定するために使われます。しかし詐欺師は、この機能を悪用して正規のGoogleアドレス([email protected])から直接メールを送る方法を見つけました。
メールが実在するGoogleドメインから送られてくるため、従来のセキュリティフィルターを容易にすり抜けます。さらに調査を進めると、メッセージは通常、標準的な社内通知のように見え、「新しいボイスメールがある」や「“Q4”ファイルを確認する必要がある」といった内容を装っていることが分かりました。ご存じのとおり、この種の内容はメールを「日常的な企業通知」に見せかけるため、多くの人が信頼してしまいます。
3段階の罠
詐欺師は情報を盗むために多段階のプロセスを用います。 まず、ユーザーが実在するGoogle Cloudのページ(storage.cloud.google.com)を指すリンクやボタンをクリックするところから始まります。そこから第2のページ(googleusercontent.com)へ送られ、偽のCAPTCHAテストが表示されます。
研究者は、これは実在のユーザーは通しつつセキュリティツールを遮断するために行われていると指摘しています。最後に、ユーザーは認証情報を収集するための偽のMicrosoftログインページへ誘導されます。これは簡単に言えば、入力した瞬間に詐欺師があなたのパスワードを記録するということです。
標的となっているのは誰か?
研究者は、このキャンペーンが真にグローバルであることを確認しました。標的の48.6%は米国でしたが、アジア太平洋地域(20.7%)と欧州(19.8%)でも顕著な活動が見られました。中南米では、同地域内でブラジル(41%)とメキシコ(26%)が最も多く攻撃を受けました。なお、最大の標的は製造業(19.6%)とテクノロジー分野(18.9%)で、次いで金融・銀行が14.8%でした。
合計で、わずか2週間の間に約3,200の顧客に対して9,394通のフィッシングメールが送信されました。Googleはその後、「この活動はGoogleのインフラが侵害されたものではなく、ワークフロー自動化ツールの悪用に起因する」と述べています。
同社は、これら特定のキャンペーンは現在ブロックされていると確認していますが、この事例は、信頼できる送信元から来たように見える場合であっても、予期しないリンクには注意を払い続ける必要があることを私たち全員に思い起こさせます。
翻訳元: https://hackread.com/google-phishing-3000-global-organisations/
